MITRE waarschuwt voor aflopen overheidsfinanciering CVE-programma
De MITRE Corporation heeft in een interne brief gewaarschuwd dat financiering van het CVE-programma door de Amerikaanse overheid vandaag afloopt, wat volgens de organisatie gevolgen zal hebben voor het tracken van kwetsbaarheden, beveiligingsbulletins van leveranciers en het reageren op beveiligingsincidenten.
MITRE is een door de Amerikaanse overheid gefinancierde not-for-profit-organisatie, die verantwoordelijk is voor het Common Vulnerabilities and Exposures (CVE) systeem. Het in 1999 gelanceerde CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.
Volgens de brief heeft het Amerikaanse ministerie van Homeland Security voor niet genoemde redenen het financieringscontract niet verlengd. In het geval van een onderbreking van het CVE-programma kan dit volgens MITRE grote gevolgen hebben, onder andere voor nationale databases met kwetsbaarheden, beveiligingsbulletins van leveranciers, incident response operaties en op allerlei manieren voor de vitale infrastructuur. De organisatie voegt toe dat de Amerikaanse overheid aanzienlijke inspanningen levert om de ondersteuning van MITRE te blijven voortzetten. Verdere details zijn op dit moment niet bekend.
Als je een kwetsbaarheid niet kan vinden, dan bestaat die ook niet! :-)
Had lets encrypt niet ook dit probleem dat de geldkraan werd dichtgedraaid?
Als we deze programma's naar de EU kunnen halen, levert dat ons extra voordeel op.
(Gemakkelijke valse certificaten en exploit inside-knowledge zijn heel fijn voor onze veiligheidsdiensten...)
Er zijn een paar redenen te bedenken.
1) Internet is van de US, dus zij bepalen wat er mee gebeurt.
2) De US betaalt, dus hoeven wij het lekker niet te doen.
Maar je hebt wel gelijk. We moeten meer zaken samen / zelf doen. Dit is nu weer "opgelost" met een Amerikaanse "foundation", maar dat is natuurlijk geen echte oplossing. Zie https://www.thecvefoundation.org/home.
Liever heb ik dit in Zwitserland.
Peter
Er zijn een paar redenen te bedenken.
1) Internet is van de US, dus zij bepalen wat er mee gebeurt.
Ook als je kijkt naar belangrijkste knooppunten staat de VS niet op de eerste plaats.
2) De US betaalt, dus hoeven wij het lekker niet te doen.
Maar je hebt wel gelijk. We moeten meer zaken samen / zelf doen. Dit is nu weer "opgelost" met een Amerikaanse "foundation", maar dat is natuurlijk geen echte oplossing. Zie https://www.thecvefoundation.org/home.
Als je betaalt heb je er ook iets te zeggen, zo werkt het nou eenmaal. De Amerikaanse overheid heeft graag overal wat te vertellen.
Het zou beter zijn als het een onafhankelijke stichting zou zijn
Er zijn een paar redenen te bedenken.
1) Internet is van de US, dus zij bepalen wat er mee gebeurt.
Ook als je kijkt naar belangrijkste knooppunten staat de VS niet op de eerste plaats.
Ik was misschien niet duidelijk genoeg sarcastisch.
2) De US betaalt, dus hoeven wij het lekker niet te doen.
Maar je hebt wel gelijk. We moeten meer zaken samen / zelf doen. Dit is nu weer "opgelost" met een Amerikaanse "foundation", maar dat is natuurlijk geen echte oplossing. Zie https://www.thecvefoundation.org/home.
Als je betaalt heb je er ook iets te zeggen, zo werkt het nou eenmaal. De Amerikaanse overheid heeft graag overal wat te vertellen.
Het zou beter zijn als het een onafhankelijke stichting zou zijn[/quote]
Het is, jammer genoeg, niet helemaal bekend wie er achter die stichting zitten. Er is dus ook nog niet bekend hoe onafhankelijk die stichting is of wordt.
Peter
Liever heb ik dit in Zwitserland.
Of Luxemburgs:
https://gcve.eu/
https://infosec.exchange/@adulau/114346853273968549
Peter
2) De US betaalt, dus hoeven wij het lekker niet te doen.
Lmao, behalve dan alle delen van en componenten op het internet, die niet van de VS zijn, en die de VS niet betaalt.
Nou das heel typisch, ik zat al meteen te lachen toen ik zijn reactie zag. ---- > :D
Droog sarcasme beats overdadig smiley-achtig notatie gebruik every time...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
